Nowe wersje naprawiają ponad 60 błędów i eliminują cztery luki:
- Dwie luki (CVE-2019-10127, CVE-2019-10128) są specyficzne dla platformy Windows i pojawiają się w instalatorach z EnterpriseDB i BigSQL, które nie ustawiły odpowiednich praw dostępu do katalogu danych, co umożliwiło inicjowanie dowolnego nieuprzywilejowanego użytkownika Windowsa wykonanie kodu na poziomie usługi PostgreSQL.
- Luka CVE-2019-10129 pojawia się w PostgreSQL 11 i pozwala użytkownikowi odczytać dowolne obszary pamięci procesu serwera poprzez wysłanie specjalnie spreparowanego żądania INSERT do podzielonej tabeli.
- Luka CVE-2019-10130 pozwala na odczyt wartości rekordów, do których dostęp jest ograniczony.
Naprawione błędy obejmują uszkodzenie katalogu podczas wykonywania operacji „ALTER TABLE” na partycjonowanej tabeli, awarię serwera w przypadku wystąpienia błędu podczas próby zapisania kursora pomiędzy zatwierdzeniami transakcji, problemy z wydajnością podczas wycofywania transakcji obejmujących dużą liczbę tabel, brak obsługi Wyrażenie „UTWÓRZ TABELĘ, JEŚLI NIE” ISTNIEJE .. JAK WYKONAJ ..”, wycieki pamięci.
Źródło: opennet.ru